Come Avito identifica i truffatori e combatte le frodi

Ciao, Habr. Sono Igor, il leader di una squadra che combatte i truffatori su Avito. Oggi parleremo dell’eterna battaglia con i furfanti che cercano, e talvolta addirittura, di ingannare gli acquirenti online attraverso la consegna della merce.

Combattiamo le frodi da molto tempo. I truffatori di oggi ingannano le persone imitando le interfacce e le funzioni delle piattaforme di trading online. Ad esempio, elaborano schemi per la consegna tramite corriere sui mercati.

Nel gennaio 2020 sono apparse su Internet le istruzioni già pronte per i truffatori e tutti gli strumenti necessari. Poi l'autoisolamento ha aggiunto benzina sul fuoco: coloro che in precedenza avevano truffato e rubato per strada e negli appartamenti sono stati costretti ad andare online. Forse questi stessi "truffatori" ti hanno chiamato molto ultimamente, scrivendo in messaggistica istantanea, SMS e lettere. Si presentano come dipendenti di banche e forze dell'ordine, parenti lontani o notai. Scrivi nei commenti che tipo di frode hai riscontrato l'ultima volta.

Schemi di frode standard

Lo schema più comune per ingannare un acquirente con la consegna della merce è simile al seguente:

1. Il truffatore pubblica un annuncio con un prodotto popolare nella categoria di prezzo medio. Ad esempio, con la vendita di scooter elettrici, sono popolari in estate.
2. In ogni caso, convince un potenziale acquirente alla consegna. I pretesti possono essere diversi: ho lasciato la città durante la pandemia oppure semplicemente sono troppo occupato e non posso venire all’incontro.
3. Dopo aver ricevuto il consenso, il truffatore invia un link di pagamento falso. La pagina collegata è simile al modulo Avito standard.
4. La vittima paga gli acquisti e dice addio ai soldi.
5. Il truffatore sta cercando di guadagnare di più offrendosi di restituire il pagamento. Invia all'acquirente un nuovo modulo per il rimborso, ma in realtà effettua nuovamente l'addebito. La pagina di reso è la stessa pagina di pagamento, ma il testo sul pulsante è stato cambiato da "paga" a "restituisci".

Di seguito è riportato un esempio di una pagina falsa che un truffatore potrebbe inviare. Il dominio imita Avito e il sito stesso è simile alla pagina di pagamento in un negozio online. Le pagine false spesso utilizzano il protocollo https ed è impossibile distinguerle per questa caratteristica. Dopo aver inserito i dati, l'utente viene indirizzato alla pagina di pagamento dell'ordine, dove gli viene chiesto di inserire i dati della sua carta bancaria.

Pagine di pagamento e rimborso di prodotti falsi

Blocchiamo i venditori sospetti. Pertanto, per eseguire tali operazioni, i truffatori devono creare costantemente nuovi account su Avito. O li registrano da soli tramite SMS a un numero virtuale temporaneo o acquistano account rubati. Una carta SIM virtuale costa da 60 centesimi, il conto di qualcun altro sul mercato ombra costa da 10 rubli. I costi di entrambi sono incomparabilmente inferiori anche al reddito una tantum derivante dall'inganno degli utenti.

Era Avito Scam 1.0, ma sono già apparse le versioni 2.0, 3.0 e anche 4.0. Queste non sono le nostre designazioni: vengono utilizzate dagli stessi truffatori.

Ingannano non solo gli acquirenti, ma anche i venditori. Il secondo diagramma è simile al seguente:

1. L'acquirente avrebbe inviato il denaro tramite una transazione sicura.
2. Invia al venditore un collegamento falso dove può ricevere il pagamento.
3. Il venditore viene indirizzato a una pagina che richiede i dettagli della sua carta e, di conseguenza, l'importo viene addebitato sul suo conto.

Lo schema Scam 3.0 funziona in questo modo:

1. Il venditore pubblica annunci con consegna attivata tramite Avito.
2. Quando l'acquirente paga la merce, il truffatore gli invia uno screenshot in cui Avito chiederebbe un codice di conferma.
3. Utilizzando il codice, il venditore accede all'account dell'utente. Nel profilo dell’acquirente, il truffatore seleziona una casella che indica che ha ricevuto la merce. L'acquirente rimane senza soldi e senza acquisto.

E lo schema 4.0 è così organizzato:

1. L'acquirente finge di aver pagato la merce e invia una ricevuta falsa. Le ricevute vengono inviate ovunque: tramite e-mail o tramite un messenger di terze parti. Dipende dal contatto che il venditore ha fornito al truffatore.
2. Il venditore riceve un SMS che imita un bonifico dalla banca.
3. Pochi minuti dopo, l'acquirente scrive che un prodotto di un altro venditore sarebbe più adatto a lui e chiede un rimborso. Viene spesso utilizzato l’argomento “restituiscilo, non sei un truffatore”. Il venditore invia l'importo all'acquirente, ma di tasca propria, perché non è stato effettuato alcun pagamento.

Per cosa premono i truffatori?

I cinque contesti più popolari in cui le persone cadono nelle grinfie dei truffatori:

1. Proposta di vendita unica. Il prezzo o il prodotto si confronta favorevolmente con altre offerte.
2. Eccitazione. Il venditore ha diverse persone disposte ad acquistare il prodotto, quindi impone un pagamento anticipato.
3. Urgenza. L'acquirente si offre di acquistare urgentemente la merce per qualsiasi denaro e chiede tutti i dati della carta bancaria per trasferire denaro.
4. Buon cuore. Il truffatore chiede aiuto per l'acquisto di un prodotto: ad esempio, l'acquirente ha problemi di salute o non è in grado di ritirare personalmente il prodotto. Il truffatore chiede i dettagli della carta per trasferire denaro e la merce verrà presumibilmente ritirata da un corriere.
5. Varie località e città. In questo caso, il pagamento anticipato è una condizione obbligatoria per la transazione e ciò apre un vasto campo di attività per i truffatori.

Schema di “lavoro” dei truffatori

Tre gruppi di persone sono coinvolti nello schema fraudolento: lavoratori, supporto, TS.

I lavoratori, dalla parola lavoratore, sono il gruppo più numeroso di persone, principalmente scolari e studenti. Creano autonomamente account su Avito e cercano le vittime, chiamate mammut. Quindi, utilizzando competenze di ingegneria sociale, convincono le vittime a pagare qualcosa e inviano loro un collegamento falso. Se la vittima paga la "beni", il compito dei lavoratori, con l'aiuto del supporto, è quello di trasferire la vittima al rimborso, citando qualche tipo di errore tecnico.

Il supporto sono persone che, per un reddito fisso, aiutano i lavoratori alle prime armi a ingannare gli utenti. Danno consigli, consigliano prodotti “redditizi” e spesso sono disposti a fornire altri servizi per una certa percentuale della transazione fraudolenta, ad esempio preparando un passaporto in Photoshop, chiamando la vittima, scrivendole per conto del supporto tecnico.

I TS, da Topic Starter sui forum ombra, dove inizialmente venivano assunti i lavoratori, sono essenzialmente organizzatori. Scaricano o acquistano software composto da due parti:

1. Bot di Telegram, che è lo strumento principale dei truffatori. In esso puoi ottenere un collegamento falso a un prodotto, ricevere notifiche su clic o pagamenti.
2. Versione web, che si occupa di visualizzare la pagina di pagamento/reso/ricevuta. Ad esso è collegato anche un sistema di pagamento per l'accettazione di pagamenti.

Gli organizzatori guadagnano da una percentuale del trasferimento di ciascuna vittima, chiamata profitto. Pertanto, cercano di pubblicizzare il loro progetto e di pagare un sostegno per formare i nuovi arrivati. Inoltre sostengono tutti i costi legati all'acquisto di nuovi domini e carte per i quali arriva il denaro.

Dopo aver esaminato i codici sorgente di molte varianti di script fraudolenti, siamo giunti alla conclusione che la maggior parte di essi erano scritti in PHP, ma ad un livello molto scarso. Quasi tutti gli script raccolgono informazioni sui propri utenti, compresi i lavoratori. Uno dei presupposti per cui lo fanno è che quando le forze dell'ordine contatteranno l'organizzatore, questi collaborerà con le indagini e cercherà di ridurre il più possibile la punizione rivelando i lavoratori.

Oltre agli script, i truffatori utilizzano i bomber. Si tratta di bot che offrono l'opportunità di spammare il tuo telefono con SMS e chiamate. I bombardieri funzionano così: si recano su diversi siti e richiedono la registrazione o il recupero della password utilizzando un numero di telefono. Di solito i truffatori li collegano alle vittime per 2-72 ore. E questo è un motivo importante per non mostrare il tuo numero di telefono su Internet.

Alcuni TS assumono anche sviluppatori che apportano miglioramenti al bot o al sito web. Ad esempio, migliorano le valutazioni dei lavoratori o proteggono gli script dalle vulnerabilità riscontrate nelle versioni gratuite. Tuttavia, alla ricerca di rapidi profitti, il veicolo può prendere per sé tutti i proventi, ingannando i propri lavoratori. Allo stesso tempo, c'è un gruppo di ragazzi che guadagnano denaro dagli stessi truffatori, ingannandoli in vari servizi.

Il reddito medio giornaliero di un truffatore-esecutore testamentario è di 20 rubli, quello di un truffatore-organizzatore è di 000 rubli. La cosa principale da ricordare: nonostante l’apparente impunità e i vantaggi del “business”, tutta questa attività rientra ai sensi dell'articolo 159 del codice penale della Federazione Russa. I truffatori vengono arrestati e condannati a pene reali anche nei casi in cui il danno derivante dall'inganno ammonta a 5-7 mila rubli.

Trasferiamo tutte le informazioni in nostro possesso sulle frodi alle forze dell'ordine. Siamo convinti che, nonostante l'apparente redditività e la semplicità del sistema, i nostri lettori capiscono che solo le persone dalla mentalità ristretta che non si rendono conto di tutti i rischi commettono frodi.

Una battaglia epica tra antifrode e truffatori

Vi racconteremo quali misure abbiamo adottato nei primi mesi del 2020 per tutelare i nostri utenti, e come hanno risposto i truffatori.

Il principale parametro su cui ci siamo basati per valutare l'efficacia del nostro lavoro è stato il numero di chiamate di supporto con consegna a carico del truffatore. Blocchiamo la maggior parte degli annunci fraudolenti prima ancora che raggiungano il sito. Ma quando quasi tutto il commercio si è spostato online, abbiamo registrato un’impennata delle richieste. Questa informazione è confermata anche dalle banche: nei mesi di aprile e maggio hanno lanciato massicci avvertimenti sulla crescita delle frodi negli acquisti online.

Per ricevere un rapido feedback sui nuovi strumenti, una persona del nostro team si è infiltrata in decine di gruppi chiusi di truffatori. In uno di essi, ha superato un colloquio come sviluppatore e ha ottenuto l'accesso al codice sorgente dei bot truffa, oltre a entrare nel gruppo degli organizzatori. Grazie a questo, abbiamo sempre avuto informazioni fresche e di prima mano.

Comprendendo i rischi dovuti all’inizio dell’autoisolamento, abbiamo iniziato a lavorare prima dell’aumento attivo delle richieste. Una delle prime misure tecniche è stata l’implementazione di un sistema anti-hacking per strappare gli account utente dalle grinfie degli aggressori. Per fare ciò, se login e password erano stati inseriti correttamente, ma la geolocalizzazione era sospetta, abbiamo richiesto un codice da un SMS inviato al proprietario dell'account. In risposta, i truffatori hanno iniziato a registrare account più indipendenti. Questo va a nostro vantaggio: i nuovi account venditore ispirano meno fiducia in tutti.

Successivamente, abbiamo iniziato ad avvisare gli utenti di seguire collegamenti sospetti nel messenger. Quindi abbiamo ridotto il numero di clic di un terzo, ma questo non ha avuto quasi alcun effetto sul nostro parametro principale: coloro che sono stati ingannati dai truffatori non sono stati fermati da alcun avvertimento.

Successivamente abbiamo introdotto una lista bianca di collegamenti. Abbiamo smesso di evidenziare i collegamenti sconosciuti nel messenger Avito; non puoi più seguirli con un clic. Durante la copia di un collegamento sospetto veniva visualizzato anche un avviso. Questa decisione ha avuto per la prima volta un impatto positivo sui nostri parametri.

Abbiamo iniziato a punire attivamente la trasmissione di collegamenti sospetti nel messenger Avito: blocca o rifiuta gli annunci del venditore. In risposta, i truffatori hanno iniziato a deviare gli utenti dalla nostra chat a servizi di messaggistica istantanea di terze parti. Quindi abbiamo emesso un avviso di non passare a un altro messenger se lo vedi menzionato nella chat. Questa funzione è iniziata con una ricerca di espressioni regolari, quindi l'abbiamo sostituita con un modello ML.

Quindi i truffatori hanno iniziato a ingannare gli utenti tramite posta elettronica. Per fare questo avevano bisogno della stessa cosa di cui tutti noi abbiamo bisogno: la fiducia. Hanno iniziato a inviare immagini alle potenziali vittime in cui Avito avrebbe richiesto l'e-mail dell'acquirente. Questa è una truffa: non abbiamo bisogno delle e-mail degli acquirenti.

Qui il nostro supporto presumibilmente risponde che l'e-mail dell'acquirente è necessaria per la consegna

E qui nella nostra interfaccia sembra esserci un nuovo campo per inserire la posta elettronica

Se qualcun altro riesce a distinguere un collegamento falso, la lettera può essere facilmente falsificata ed è più affidabile. Abbiamo iniziato a eliminare il messaggio e-mail e a mostrare all'utente un avvertimento sui pericoli di tale azione. Se dopo l'avviso l'utente invia nuovamente l'e-mail, non la elimineremo più.

I truffatori hanno iniziato a chiedere ai clienti di inviare il proprio indirizzo email in più messaggi o di sostituire il simbolo @ con qualcos'altro. Poi abbiamo iniziato a visualizzare un avviso anche quando si richiede posta. L'insieme di queste misure ha permesso di impedire quasi completamente agli utenti di lasciare il messenger Avito per la posta.

I nostri meccanismi attuali sono abbastanza efficaci, ma non facili da usare. Il messaggio e-mail viene eliminato completamente e spesso contiene altro testo. Ma era la soluzione più rapida ed economica da sviluppare. Stiamo pensando a come rifarlo e migliorarlo.

Una delle nostre ultime iniziative è comporre il numero. In genere, i numeri utilizzati dai truffatori per registrare gli account non durano a lungo. Chiamiamo il numero del venditore dopo aver inviato un annuncio su Avito. Se non riesci a comunicare telefonicamente, la moderazione rifiuterà l'annuncio. I truffatori hanno iniziato a cambiare il numero di telefono immediatamente prima della pubblicazione in modo da poter chiamare mentre era ancora disponibile.

Ed ecco il feedback del truffatore

In casi sospetti, abbassiamo la priorità dell'annuncio nei risultati di ricerca e lo rimuoviamo dai consigli. Allo stesso tempo, abbiamo fissato un ritardo nell'emissione fino a 48 ore per garantire il tempo di controllare tutto attentamente e causare qualche disagio in più ai truffatori.

Questa è solo la punta dell’iceberg, esistono molti altri tipi di frode.

Sfortunatamente, è impossibile descrivere tutti i tipi di frode in un unico articolo. Quando abbiamo saputo dell’introduzione del regime di autoisolamento, è apparso subito chiaro che i truffatori che guadagnavano denaro offline sarebbero scappati online. Non vorranno cambiare i loro modelli di comportamento per alcuni mesi e diventare buoni cittadini. Ciò ha portato ad un vero e proprio boom di frodi su tutte le piattaforme online e via telefono.

Tra i tipi di frode ce ne sono di rari e persino divertenti. Ad esempio, qui il truffatore si finge un robot per ridurre i costi di comunicazione:

Nonostante ogni giorno ci siano sempre meno truffatori su Avito e si stiano svolgendo raid in tutto il Paese dove le forze dell'ordine li trovano, nonostante proxy e VPN, li detengono e portano a vere e proprie condanne fino a 2 anni di carcere per inganni da 2500 a 5000 rubli, è impossibile eliminare completamente la frode.

Non parleremo pubblicamente di altre idee e innovazioni, per non facilitare il lavoro dei truffatori. Comprendiamo che questa battaglia continuerà. Il nostro compito è rendere la vita più difficile possibile ai truffatori, rendere questo tipo di attività sulla nostra risorsa semplicemente non redditizia e troppo pericolosa, danneggiando minimamente i buoni utenti.

i risultati

Ecco la sequenza temporale per le chiamate di supporto per frode nella consegna. Nelle ultime settimane è rimasto a un livello costantemente basso:

Come evitare di diventare vittima di un truffatore

I truffatori sono l'unico neo delle offerte redditizie. Per stare sempre al sicuro basta seguire queste regole:

1. Non condividere dati sensibili. Nessuno: nome completo, numero di telefono, indirizzo, email, data e luogo di nascita, informazioni su famiglia e reddito, dettagli della carta, contatti in altri messenger. Non leggere mai i codici tramite SMS e notifiche push.
2. Conduci tutte le comunicazioni solo all'interno del nostro messenger, quindi saremo in grado di avvisarti in caso di pericolo.
3. Controlla la valutazione del venditore e l'età del profilo. A sollevare i sospetti sono i prezzi bassi, la recente data di registrazione sul sito e le recensioni negative.
4. Se il pulsante "Acquista con consegna" non è attivo, non viene effettuata la consegna della merce tramite partner Avito fidati. Altri metodi di consegna rappresentano sempre un rischio.
5. Non fare clic sui collegamenti. Il collegamento per pagare o ricevere denaro deve essere inviato al messenger Avito integrato tramite un messaggio di sistema. Un vero collegamento inizia sempre con il dominio www.avito.ru. Qualsiasi altra combinazione di parole e simboli è una frode.
6. Prenditi il ​​tuo tempo e fai tutti gli acquisti in modo sobrio. Sii attento ad ogni piccolo dettaglio. I truffatori spesso esercitano pressioni sui potenziali acquirenti e minacciano di vendere il prodotto a qualcun altro. I venditori onesti sono leali e pronti per ulteriori domande.
7. Non effettuare un pagamento anticipato per alcun servizio se non hai fiducia nel venditore.
8. Non installare estensioni o programmi di terze parti.
9. Se vedi un profilo o un annuncio sospetto, scrivilo a nostro sostegno. Controlleremo il venditore. Su Internet è meglio non fidarsi di nessuno e fare ulteriori controlli.

Fonte: habr.com